CSIRT Toscana Rilevate vulnerabilità nelle stampanti multifunzione Xerox Versalink (BL01/250219/CSIRT-ITA)
Data:
19 Febbraio 2025 15:32
Impatto Sistemico
Medio (63.58)
Sintesi
Ricercatori di sicurezza hanno rilevato 2 vulnerabilità, di cui una con gravità “alta”, nelle stampanti multifunzione Xerox Versalink. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato di alterare la configurazione della stampante e ottenere le credenziali di autenticazione degli utenti.
Tipologia
- Information Disclosure
Descrizione e potenziali impatti
Ricercatori di sicurezza di Rapid7 hanno fornito dettagli inrerenti alle vulnerabilità CVE-2024-12510 e CVE-2024-12511 – già sanate dal vendor a gennaio 2025 – presenti nelle stampanti multifunzione Xerox Versalink.
Tali vulnerabilità – con score CVSS v3.x rispettivamente pari a 6.7 e 7.6 – di tipo “Pass-back Attack”, potrebbero consentire a un utente malintenzionato la possibilità di alterare la configurazione della stampante target al fine di ottenere le credenziali di autenticazione degli utenti utilizzatori.
Nel dettaglio, la CVE-2024-12510 riguarda il protocollo LDAP (Lightweight Directory Access Protocol): un utente malevolo potrebbe essere in grado di sfruttare questa vulnerabilità per intercettare le richieste di autenticazione LDAP e reindirizzarle verso un server malevolo, al fine di carpire le credenziali delle potenziali vittime.
La CVE-2024-12511 riguarda i protocolli SMB (Server Message Block) e FTP (File Transfer Protocol), comunemente utilizzati per l’accesso remoto e la condivisione di file. Un utente malevolo potrebbe manipolare le configurazioni della stampante per reindirizzare le richieste di autenticazione SMB/FTP verso un server controllato, al fine di carpire le credenziali in transito, ad esempio per intercettare dei token handshake NetNTLMV2.
Infine si evidenzia che la vulnerabilità “pass-back attack” potrebbe interessare anche le utenze Active Directory: qualora la stampante sia configurata per connettersi a un server AD per autenticare gli utenti (ad esempio, per l’accesso a funzionalità come la stampa o la scansione), un eventuale attaccante potrebbe manipolare le risposte del server in modo da ottenere, tramite la stampante, credenziali utente da poter sfruttare al fine di effettuare eventuali movimenti laterali all’interno dell’ambiente dell’organizzazione vittima e compromettere altri server e file system critici di Windows.
Per ulteriori dettagli riguardanti le suddette vulnerabilità è possibile consultare il link al blog dei ricercatori di sicurezza, disponibile nella sezione Riferimenti.
Prodotti e/o versioni affette
- Xerox Versalink MFPs, con versione firmware 57.69.91 e precedenti
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
CVE
| CVE-ID | |
|---|---|
| CVE-2024-12510 | CVE-2024-12511 |
Riferimenti
- https://www.support.xerox.com/en-us/product/versalink-c7020-c7025-c7030/content/169633
- https://www.rapid7.com/blog/post/2025/02/14/xerox-versalink-c7025-multifunction-printer-pass-back-attack-vulnerabilities-fixed/
Change log
| Versione | Note | Data |
|---|---|---|
| 2.0 | Pubblicato il 19-02-2025 | 19/02/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.